技术支持

企业产品

Kaspersky Anti Targeted Attack (KATA) Platform

对于安全人员:应用程序 Web 界面使用入门

管理任务

创建任务以使用 YARA 规则扫描主机
Kaspersky Anti Targeted Attack (KATA) Platform
Online Help
Advice & Solutions FAQ Download Forum Contact support

创建任务以使用 YARA 规则扫描主机

2024年6月26日

ID 247376

另存为 PDF

您可以使用 YARA 规则扫描具有端点代理组件的主机。为此,您必须创建一个启动 YARA 扫描任务。您可以创建任务:

  • 任务部分。

    在这种情况下,在创建任务时,您必须选择要用于扫描主机的 YARA 规则。

  • 自定义规则部分,YARA子部分。

    在这种情况下,将创建一个任务来使用选定的 YARA 规则扫描主机。

要使用 YARA 规则创建扫描具有 Kaspersky Endpoint Agent 组件的主机的任务,请在任务部分:

  1. 在应用程序 Web 界面窗口中选择任务部分。

    这将打开任务表。

  2. 单击添加并选择启动 YARA 扫描

    这将打开任务创建窗口。

  3. 配置以下设置:
    1. 选择规则是规则的名称。您可以输入规则名称或规则名称中的字符序列,然后在列表中选择规则。

      您可以添加多个规则。

    2. 扫描是扫描范围。选择以下选项之一:
      • 内存,如果您想扫描任务执行时正在运行的进程。

        应用程序不扫描低优先级的进程。

      • 自动运行点,如果您想扫描从进行取证任务获取的自动运行点。

        如果您使用 Kaspersky Endpoint Agent 作为端点代理组件,则此功能仅在与 Kaspersky Endpoint Agent 3.13 或更高版本集成时可用。

        要扫描自动运行点,您必须指定之前为其运行过进行取证的主机。

      • 指定目录,如果您想要扫描在任务执行时位于指定文件夹及其所有嵌套文件夹中的文件。
      • 所有本地磁盘,如果您希望扫描任务执行时存储在本地磁盘上所有文件夹中的文件。

        扫描所有本地磁盘可能会导致主机负载过高。

    3. 如果您选择了内存,必要时请执行以下操作:
      • 进程字段中,输入要扫描的进程的短名称或文件掩码。

        应用程序扫描主机上运行的所有具有相同名称的进程。

        如果进程字段留空,应用程序将扫描任务执行时正在运行的所有进程,除了 PID 小于 10 的进程和排除情况字段中所列的进程。

      • 排除情况字段中,输入要从扫描中排除的进程的短名称或文件掩码。

        如果主机上正在运行多个具有相同名称的进程,应用程序将从扫描中排除所有此类进程。

    4. 如果您选择了自动运行点,在扫描类型字段中,选择扫描类型:
      • 快速

        在这种情况下,将扫描除 COM 对象之外的所有自动运行点。

      • 全盘

        在这种情况下,将扫描所有自动运行点以及与其相关的文件。

      如果您使用 Kaspersky Endpoint Security for Windows 作为端点代理组件,则无论选择的设置如何,都会执行完整扫描。

    5. 如果您选择了指定目录:
      • 指定目录字段中,以 C:\<目录名称>\* 格式指定目录路径。
      • 排除情况字段中,以 C:\<目录名称>\* 格式指定目录路径。
    6. 最大扫描持续时间是最大扫描持续时间。

      当该时间过去后,即使未应用某些规则来扫描主机,扫描也会停止。任务报告包含扫描停止时的最新结果。

    7. 描述是任务描述。该字段是可选的。
    8. 任务所有者 — 任务范围:
      • 如果您想运行所有服务器上的任务,请选择所有主机选项。
      • 如果要在选定的服务器上运行任务,请选择指定服务器选项并在服务器参数名称的右侧选择要在其上运行任务的服务器名称旁边的复选框。

        仅当启用分布式解决方案多租户模式时,此选项才可用。

      • 如果您想运行选定主机上的任务,请选择指定主机选项并在主机字段中列出这些主机。

        如果您使用 Kaspersky Endpoint Agent 充当端点代理组件,则使用 YARA 规则扫描 Kaspersky Endpoint Agent 主机的任务只能分配给运行 Kaspersky Endpoint Agent for Windows 版本 3.12 及更高版本的主机。如果您同时将任务分配给装有 Kaspersky Endpoint Agent 3.12 和早期版本应用程序的主机,则该任务仅在装有 Kaspersky Endpoint Agent 3.12 的主机上执行。

若要创建使用 YARA 规则在自定义规则部分的YARA子部分中扫描 Kaspersky Endpoint Agent for Windows 主机的任务:

  1. 在应用程序 Web 界面窗口中,选择自定义规则部分的YARA子部分。
  2. 选择扫描主机时要使用的规则左侧的复选框。

    控制面板出现在窗口的下部。

  3. 单击启动 YARA 扫描
  4. 执行上述说明的步骤 3。

任务创建完成。任务创建后自动运行。

如果扫描检测到任何威胁,Kaspersky Anti Targeted Attack Platform 会创建相应的警报。

具有安全审计员角色的用户无法创建使用 YARA 规则扫描主机的任务。

具有安全官角色的用户无权访问任务。

另请参阅

管理任务

查看任务表

查看有关任务的信息

创建获取文件任务

创建取证收集任务

创建注册表项检索任务

创建 NTFS 元文件检索任务

创建进程内存转储检索任务

创建磁盘镜像检索任务

创建 RAM 转储检索任务

创建进程终止任务

创建服务管理任务

创建应用程序执行任务

创建文件删除任务

创建文件隔离任务

创建隔离文件恢复任务

创建任务副本

删除任务

按创建时间筛选任务

按类型筛选任务

按名称筛选任务

按文件名和路径筛选任务

按描述筛选任务

按服务器名称筛选任务

根据创建任务的用户的名称筛选任务

按处理状态筛选任务

清除任务筛选器

Kaspersky Professional Services
Implementation services. Health check and security system configuration. Contact us if you need expert help.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.